IBM MobileFirst证书钉扎最佳实践

Question

我们正在开发一个IBMRA7.1混合移动应用程序，并计划使用证书固定功能。

我们可以在IBM网站上找到关于IBM MobileFirst网站上的SSL证书的信息：这是IBM知识中心的一篇文章、这里有一个教程和其示例项目/代码。

所有这些资源都很好，但我有一些问题：

• 当我的应用程序是混合应用程序时，对于Android和iOS使用本机证书钉扎实现有什么好处吗？
• 如果我使用混合环境代码，SSL证书是否会包含在wlapp中，然后可以使用直接更新进行更新？
• 证书钉扎的混合实现在WindowsPhone 8( Silverlight环境下的混合应用程序)上工作吗？
• 在教程视频中，我已经看到当SSL钉扎打开时，我们调用服务器外部的URL (例如google)，它将失败。这是否意味着如果我启用证书钉扎，谷歌地图将无法加载？
• 当SSL证书被撤销时会发生什么？
• 当SSL证书过期时会发生什么？
• 在更新我们的服务器SSL证书时，保持证书固定和应用程序正常工作的最佳SSL更新策略是什么？

请指点

Answer 1

当我的应用程序是混合应用程序时，对于Android和iOS使用本机证书钉扎实现有什么好处吗？

你可以写你自己的代码做钉扎，或使用第三方科多瓦插件。但是，所有这些都不能保证您通过使用所提供的功能获得的支持程度。请注意，您随后仅限于提供的功能(例如，MobileFirst将证书固定在单个目标主机上，而不是多个目标主机)。

如果我使用混合环境代码，SSL证书是否会包含在wlapp中，然后可以使用直接更新进行更新？

您需要在客户端和服务器中都有证书。您不需要使用Direct更新客户端上的证书。

它的工作方式是您只需要更新服务器上的证书，但是您必须维护相同的公钥，以防您更新它。

证书钉扎的混合实现在WindowsPhone 8( Silverlight环境下的混合应用程序)上工作吗？

正如文档中所提到的，证书钉扎只支持“本地iOS、本地Android和混合iOS或混合Android”。

在教程视频中，我已经看到当SSL钉扎打开时，我们调用服务器外部的URL (例如google)，它将失败。这是否意味着如果我启用证书钉扎，谷歌地图将无法加载？

固定只涉及绑定到MobileFirst服务器的请求，而不是其他服务。

当SSL证书被撤销时会发生什么？

绑定到MobileFirst服务器的请求将失败。

当SSL证书过期时会发生什么？

绑定到MobileFirst服务器的请求将失败。

在更新我们的服务器SSL证书时，保持证书固定和应用程序正常工作的最佳SSL更新策略是什么？

因为您只需要更新服务器上的证书，所以只需要确保继续使用与前面相同的公钥。